Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Аналитики Trend Micro заметили, что ролики в TikTok стали использоваться киберпреступниками для атак типа ClickFix. Пользователей обманом вынуждают заражать свои устройства стилерами Vidar и StealC.
Напомним, что атаки ClickFix представляют собой разновидность социальной инженерии. В последнее время различные вариации таких атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют выполнять вредоносные команды PowerShell, по сути, вручную заражая свою систему вредоносным ПО.
К примеру, злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением или требуют, чтобы пользователь .
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ранее ИБ-специалисты предупреждали и о кампаниях, направленных на пользователей и .
Как теперь сообщают в Trend Micro, в TikTok появились ролики (вероятно, созданные с помощью ИИ), в которых зрителей просят выполнить команды, якобы активирующие Windows и Microsoft Office, а также премиум-функции в различном ПО, включая CapCut и Spotify.
ClickFix-видео
В ролике пользователям предлагается выполнить PowerShell-команду, которая на самом деле загружает и выполняет скрипт с сайта hxxps://allaivo[.]me/spotify, устанавливающий на устройство стилеры Vidar или StealC, предназначенные для кражи данных. Малварь запускается как скрытый процесс с повышенными правами.
После развертывания Vidar способен делать скриншоты рабочего стола и похищать учетные данные, информацию о банковских картах и криптовалютных кошельках, файлы cookie, текстовые файлы и БД аутентификатора Authy 2FA.
StealC также может собирать широкий спектр конфиденциальной информации с зараженных машин, и его основной целью являются десятки различных браузеров и данные о криптокошельках.
После того как устройство скомпрометировано, скрипт загружает вторую полезную нагрузку в виде PowerShell-скрипта с адреса hxxps://amssh[.]co/script[.]ps1, который добавляет в реестр ключ для автоматического запуска при каждом старте системы.
Схема атаки
Стоит отметить, что это не первый случай использования TikTok для распространения малвари. К примеру, еще в 2022 году злоумышленники популярный челлендж в TikTok — Invisible Challenge, чтобы распространять среди пользователей малварь WASP, которая ворует пароли, учетные записи Discord и данные криптовалютных кошельков.
Напомним, что атаки ClickFix представляют собой разновидность социальной инженерии. В последнее время различные вариации таких атак встречаются часто. Обычно жертв заманивают на мошеннические сайты и там обманом заставляют выполнять вредоносные команды PowerShell, по сути, вручную заражая свою систему вредоносным ПО.
К примеру, злоумышленники объясняют необходимость выполнения неких команд решением проблем с отображением или требуют, чтобы пользователь .
Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, которых убеждают выполнить PowerShell-команды, ранее ИБ-специалисты предупреждали и о кампаниях, направленных на пользователей и .
Как теперь сообщают в Trend Micro, в TikTok появились ролики (вероятно, созданные с помощью ИИ), в которых зрителей просят выполнить команды, якобы активирующие Windows и Microsoft Office, а также премиум-функции в различном ПО, включая CapCut и Spotify.
В упомянутом исследователями видео якобы содержится инструкция о том, как «мгновенно повысить качество работы Spotify», и ролик набрал почти 500 000 просмотров, получил более 20 000 лайков и более 100 комментариев.
ClickFix-видео
В ролике пользователям предлагается выполнить PowerShell-команду, которая на самом деле загружает и выполняет скрипт с сайта hxxps://allaivo[.]me/spotify, устанавливающий на устройство стилеры Vidar или StealC, предназначенные для кражи данных. Малварь запускается как скрытый процесс с повышенными правами.
После развертывания Vidar способен делать скриншоты рабочего стола и похищать учетные данные, информацию о банковских картах и криптовалютных кошельках, файлы cookie, текстовые файлы и БД аутентификатора Authy 2FA.
StealC также может собирать широкий спектр конфиденциальной информации с зараженных машин, и его основной целью являются десятки различных браузеров и данные о криптокошельках.
После того как устройство скомпрометировано, скрипт загружает вторую полезную нагрузку в виде PowerShell-скрипта с адреса hxxps://amssh[.]co/script[.]ps1, который добавляет в реестр ключ для автоматического запуска при каждом старте системы.
Схема атаки
Стоит отметить, что это не первый случай использования TikTok для распространения малвари. К примеру, еще в 2022 году злоумышленники популярный челлендж в TikTok — Invisible Challenge, чтобы распространять среди пользователей малварь WASP, которая ворует пароли, учетные записи Discord и данные криптовалютных кошельков.